Когда вы слышите словосочетание “повышение осведомленности в области информационной безопасности”, то что вам первым приходит на ум? Обучение пользователей не открывать письма от посторонних и не кликать на фишинговые ссылки? Обучение способам распознавания социального инжиниринга? Отслеживание, чтобы никто посторонний не зашел в офис, как будто бы он с вами? У нас в Cisco такая программа тоже есть и мы тоже регулярно проходим соответствующее обучение. Но сегодня мне бы хотелось рассказать о другой нашей добровольной программе повышения осведомленности, которая была создана менее чем за полгода командой из всего четырех человек с бюджетом менее 50 тысяч долларов. Обратите внимание еще раз. Добровальная программа! Создана четырьмя людьми! Меньше чем за полгода! Всего за 50 тысяч долларов! А прошло обучение и успешно сдало экзамен по этой программе свыше 20 тысяч сотрудников Cisco — инженеров и разработчиков.

История создания

Идея создания данной инициативы пришла в мае 2012-го года, когда на конференции Security Development, компания Adobe рассказала о своей программе Adobe’s Security Training Program. Тогда нам пришла в голову мысль, почему бы и в Cisco не создать такую программу. Тем более, что проблема давно назрела. Программы обучения разработчиков как таковой не было. Принципы безопасного программирования (Cisco Secure Development Lifecysle, CSDL) знали многие, но как их применить на практике для снижения числа ошибок и потенциальных уязвимостей, понимали далеко не все. Тем более, что разработчики по традиции мало задумывались о том, как развивается мир безопаности по ту сторону баррикад, как действуют злоумышленники, что они могут и куда направлены их устремления?

Идея идеей, но нам не хотелось идти по проторенной дороге с организацией еще одного тренинга по безопасности. Все-таки, чего скрывать, многие обучающие программы, даже корпоративные, даже бесплатные, рассматриваются многими сотрудниками как наказание и неизбежное зло. При таком отношении большого эффекта ждать не стоило. Поэтому мы решили нашу практику в безопасном программировании и создании доверенных систем, которая у нас активно развивалась последние годы, объединить с опытом работы нашего подразделения по реагированию на инциденты в наших же продуктах (Cisco Product Security Incident Response Team, PSIRT). И наложить на эту комбинацию игровой компонент, вовлекая работников по собственной воле в увлекательную игру, в которой можно было бы зарабатывать очки, получать признание у окружающих и, попутно и ненавязчиво, получать новые знания и компетенции. Как известно, информация, полученная в игровой форме, запоминается на гораздо дольший срок, чем обычная теория, даже и облеченная красивыми презентациями и роликами.

Сказано — сделано. За основу была взята идея обучения восточным единоборствам, с ее комбинацией изучения философии и техник, обучением в зале (так называемом додзё) и в жизни, прохождением через различные степени (пояса), отображающим определенные достижения обучаемого. Участники нашей программы получили название Cisco Security Ninja. Почему ниндзя? Наверное потому что на протяжении многих десятилетий или даже столетий вокруг этих японских воинов сложилось множество легенд и их имя обросло множеством тайн. Приобщение к “тайне” CSDL служит отличительным знаком разработчиков и инженеров, прошедших соответствующее обучение.

Девизом данной инициативы стало перефразированное высказывание: “Безопасность это путь, а не точка назначения”.



Пояса Cisco Security Ninja

В отличие от традиционных десяти поясов в восточным единоборствах, мы решили ограничиться пятью — белым, зеленым, синим, коричневым и черным, “получение” которых должно было продемонстировать получение определенных знаний и навыков, а также сдачу соответствующего экзамена.



На первом уровне, который служит основой для дальнейшего роста, мы знакомим начинающих ниндзя с основными концепциями информационной безопасности, терминологией, основами безопасного программирования и CSDL. Состоит обучение на данном уровне из 16-ти модулей — введение, терминология, основы ИБ, оценка соответствия, хакеры и атаки, типичные мифы безопасности, CSDL, проверка ввода, превышение ресурсов, аутентификация, авторизация, безопасная конфигурация, утечки информации, криптография, безопасность на аппаратном уровне, PSIRT.

Зеленый пояс подразумевал получение расширенных знаний по тем или иным концепциям безопасности, а также практическое применение принципов и практик безопасности в зависимости от роли обучаемого. Их мы выделили шесть — менеджер по продукту, менеджер по программам, менеджер, инженер по дизайну, инженер по разработке, инженер по тестированию. Для получение зеленого пояса необходимо было пройти уже около 50-ти модулей — начиная от изучения различных атак (XSS, CSRF, SQL Injection, социальный инжиниринг, атаки на аппаратном уровне) и CSDL (моделирование угроз, поиск уязвимостей, анализ кода, типовые ошибки программирования на C) до основ защиты Linux, изучения Secure Boot, SSL, управления цепочками поставок и “менеджерских” тем.



Последующие три пояса подразумевали уже не изучение каких-либо теоретических или практических тем, а содействие внедрению практик защищенного программирования в деятельности Cisco. И чем выше пояс, тем больше таких действий необходимо реализовывать. Чтобы исключить неопределенность в процессе завоевывания “высших” поясов, все активности, которые кандидаты на получение синего/коричневого/черного пояса, должны были совершить, поделены на 4 группы — изобретение (например, создание полезного инструмента или процесса или ведение community), обучение (менторинг, проведение или разработка курсов, выступления), исследование (анализ какой-либо проблемы, участие во внутренней рабочей группе или комитете, разработка какой-либо функции безопасности) и реализация (тест, фича, CSDL-процесс и т.п.).

За каждое действие насчитываются определенные баллы, количество которых зависит от временных затрат (1 балл = 1 час) и масштаба активности (только внутри команды, межкомандная активность, внешняя и т.п.). Затем эти баллы суммируются и в зависимости от итоговой суммы присваивается та или иная степень. Например, для получения синего пояса достаточно “заработать” всего 75 баллов, а для черного нужно уже не менее 400 баллов из всех четырех выше описанных групп активностей. Черный пояс — это высшая ступень не только в восточным единоборствах, но и в программе Cisco Security Ninja. Он означает признание как внутри, так и снаружи Cisco.



Программа Cisco Security Ninja в цифрах

Мы запустили программу в декабре 2012-го года, попросив некоторых коллег “попробовать”. Получив положительные отклики, в феврале 2013-го года программа Cisco Security Ninja стартовала официально. В декабре 2013-го года к программе начального обучения на “белый” пояс была добавлена расширенная программа (на “зеленый” пояс), а спустя еще несколько месяцев, мы добавили обучение по ролям. Декабрь 2014-го года ознаменовался запуском оставшихся трех программ для получения синего, коричневого и черного поясов.

В 2014-м году программа получила поддержку на уровне руководства компании, которое стало настойчиво рекомендовать всем заинтересованным лицам получить, как минимум, белый пояс. При этом стоит отметить, что до сегодняшнего дня, эта программа не является обязательной для сотрудников, которые сугубо добровольно присоединяются к ней. В марте 2015-го года мы достигли границы в 20000 сотрудников, получивших свой пояс, из которых 47 получили черный пояс, 22 — коричневый, 72 — синий, 2640 — зеленый (среди них и я).

Додзё для тренировок и экзаменов

Додзё — это место, где проходят тренировки, соревнования и аттестации в восточных боевых искусствах. Есть такое додзё (Cisco Security Dojo) и у нас. Это специально разработанная платформа, которая включает в себя различные мероприятия и инструменты, с помощью которых можно было и пройти обучение в различных формах и сдать соответствующие экзамены и получить заслуженный пояс. Также с помощью данной платформы все ниндзя безопасность могут отслеживать статус свой и коллег, фиксировать свои активности для достижения высших степеней и выполнять ряд других задач.



Геймификация

Один из важнейших элементов программы, позволившей, вовлечь в нее свыше 20 тысяч человек, это геймификация, которая достигалась за счет различных элементов:
  • Метафоры ИБ, с помощью которых в забавной и юмористической форме иллюстрировались ключевые концепции и принципы безопасности и безопасного программирования.
  • Комиксы “Little Ninja”, состоящие из 3-х иллюстраций, разъясняющих те или иные положения курса обучения.



  • Забавные клипы “We are all security ninja”, в которых наши сотрудники в костюмах ниндзя случайно застаются за выполнением ежедневных дел (в кафе, в спортзале, в отпуске, на телефонном звонке и др.).



  • “Поп-идол” — известные внутри или за пределами компании люди, которые высказывались по тем или иным вопросам ИБ




Вообще геймификация — очень интересный способ донесения тематики информационной безопасности. У нас им часто пользуются в компании. Тут и стенды по ИБ, и флеш-игры, и игры для смартфонов, и проведение CTF, и многое другое.

Признание

Одним из важных элементов нашей программы стало признание специалистов, прошедших обучение и успешно получивщих тот или иной пояс. Мы используем разные варианты — сертификаты, логотипы, которые можно использовать в своем профайле на корпоративном портале или в подписи в почтовых сообщениях, соответствующие ремешки для ношения корпоративного бейджа, финансовое поощрение.



Ключевые факторы успеха

За прошедшие почти три года мы смогли сформулировать 10 критериев успеха нашей программы:
  1. Не более 20 минут на модуль; а еще лучше десять. Длинные модули смотреть тяжелее, чем короткие. Но и создавать их тяжелее. Я не редко записываю ролики для нашего корпоративного канала на YouTube и прекрасно понимаю, какая это сложная задача — вместить нужный контент в ограниченный временной интервал.



  2. Когорта экспертов. Именно они должны создавать контент, а возможно и участвовать в его записи.
  3. Признание. Не бывает универсальных рецептов — все зависит от конкретной организации. В нашем случае мы смогли найти недорогие, но эффективные варианты, что и позволило в итоге привлечь чуть меньше трети всей компании в ряды ниндзя безопасности.
  4. Вирусный маркетинг. Он позволяет вовлекать в процесс распространения информации о программе самих сотрудников, которые с радостью делятся с друзьями “прикольной фишкой” и “прикосновением к тайне”.
  5. Проектировщики учебных курсов. В английском языке эти специалисты называются insrtuctional designers и занимаются они проектированием не только курса, но и, что очень важно, тестов и экзаменов.



  6. Соревнование. Руководители любят конкурировать между собой — дайте им такую возможность, запустив сайт со статистикой по их подчиненным; они сами будут мотивировать свои подразделения быть лучше.
  7. Ломайте правила. Когда мы запускали программу Cisco Security Ninja, мы не знали никаких правил по проведению классических тренингов. Мы делали то, что считали нужным и делали это весело, с шутками и прибаутками. Люди это чувствуют и легче вовлекаются в тренинг с элементами игры.
  8. Креативные люди. Запуск такой программы — это не задача “для галочки”. Тут не помогут люди, которые делают что-то из под палки и люди, незаинтересованные в результате. Только креативный подход помог нам с минимум ресурсов сделать то, что мы сделали.
  9. Вовлечение руководства. Ну тут лишних объяснений не нужно.



  10. Геймификация. Мы сделали интерфейс, который показывал движение, помогал достигать большего, вовлекал в игру. Людям нравилось пользоваться созданным для них додзё.


В качестве заключения

Реализованная нами программа Cisco Security Ninja позволила решить сразу несколько задач, среди которых не только вовлечение 20 тысяч сотрудников в процесс обеспечения информационной безопасности нашей продукции, но и повышение уровня защищенности наших решений. Можно ли повторить данную программу в другой организации? В таком же виде врядли. Все-таки культуры, уровни зрелости, да и сами компании могут сильно отличаться друг от друга. Но ключевые факторы успеха будут едины для всех. Главное не сидеть на месте!

И помните: безопасность — это движение, а не точка назначения!

Комментарии (9)


  1. Afganec
    19.10.2015 11:03

    Очень круто! Мечта любой корпоративной политики!


    1. evmenkov
      19.10.2015 11:29
      +2

      «корпоративные политики» не умеют мечтать:)


    1. alukatsky
      19.10.2015 20:22

      Спасибо.


  1. evmenkov
    19.10.2015 11:28
    +1

    Отличная идея, и реализация, судя по описанию, на высоте.

    Небольшой коммент по поводу потраченных ресурсов:

    Создана четырьмя людьми! Меньше чем за полгода! Всего за 50 тысяч долларов!

    4 человека на полгода — это около 4000 часов, что немалые деньги (побольше бюджета в 50000$).
    Мы запустили программу в декабре 2012-го года… в феврале 2013-го года программа Cisco Security Ninja стартовала официально. В декабре 2013-го года к программе… а спустя еще несколько месяцев… Декабрь 2014-го года ознаменовался..

    т.е. полгода было потрачено на старт, а потом предполагаю, 2-3 года непрерывной работы на доработки\улучшения?

    Я не пытаюсь уменьшить крутость и значимость проекта, просто хочу чтобы мы (люди вне cisco) реально оценивали трудозатраты на подобные проекты уже в наших компаниях.


    1. alukatsky
      19.10.2015 20:22

      Не совсем так. 4 человека, которые запускали программу, официально в компании занимались вопросами SDLC. 50 тысяч — это на создание платформы, разработку дизайна, приглашение специалистов по тестированию, поощрения и т.п. задачи. Мы начали с белого пояса. Потом был зеленый. Потом остальные. Так что программа действительно непрерывно улучшается. Весной этого года запустили обновленную программу для белых поясов (v2). Так что это точно не разовое мероприятие, а процесс


  1. numberfive
    19.10.2015 12:06

    У нас в компании существует программа аварнеса по безопасной разработке (недельный курс), она обязательна для менеджеров приложений и разработчиков, для остальных добровольна.Но маркетинг выстроен не корректно и программу часто критикуют посетители не занятые в разработке за глубокую техничность, оторванность от операционных рисков и тп. думая что это обычный security awareness.
    А идея с поясами и квалификационными требованиями очень хороша, особенно если с поясами идут дополнительные C&B.


    1. alukatsky
      19.10.2015 20:22

      Идут :-)


  1. netvolart
    20.10.2015 11:19

    Воооот. Теперь могу похвастаться, что я White Belt Ninja. А то никто не понимал:-)


    1. alukatsky
      20.10.2015 23:23

      Поздравляю :-)